Die Umsetzung der Vorgaben der DSGVO stellt viele Unternehmen selbst Jahre nach Anwendbarkeit der Verordnung vor Herausforderungen. Eine der ersten Fragen, mit denen sich Unternehmen konfrontiert sehen, ist die Frage danach, ob ein (externer) Datenschutzbeauftragter bestellt werden soll oder sogar muss, und wer das gegebenenfalls übernehmen könnte.
Vor- und Nachteile der Bestellung eines externen Datenschutzbeauftragten
Adobe Stock
Wann greift die gesetzliche Benennungspflicht?
Ob ein Datenschutzbeauftragter bestellt werden muss, ergibt sich in Deutschland aus dem BDSG – hier sagt der § 38 Abs. 1 BDSG, dass Unternehmen, die mindestens 20 Mitarbeiter mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen, einen Datenschutzbeauftragten benennen müssen. Daneben nennt Satz 2 der Vorschrift auch eine Reihe von besonders risikoträchtigen Konstellationen, bei denen Unternehmen unabhängig von der Beschäftigtenanzahl einen Datenschutzbeauftragten benennen müssen.
Was dabei oft in den Hintergrund gerät: Die Benennungspflicht ist unabhängig von der Verpflichtung, die Vorgaben der DSGVO zu erfüllen, sodass es in vielen Fällen selbst dann sinnvoll sein kann, intern einen Datenschutzbeauftragten zu benennen, wenn keine gesetzliche Pflicht dazu besteht. Denn die Umsetzung der DSGVO-Vorgaben ist stellenweise nicht unbedingt trivial und erfordert ein gewisses Maß an Fachkompetenz. Es wird zudem als Teil der Organisationspflichten der Geschäftsführung angesehen, die notwendigen internen organisatorischen Maßnahmen zu treffen und insbesondere die interne Verantwortlichkeit für die Umsetzung der DSGVO-Vorgaben zu regeln. Daher kann eine fehlende interne Organisationsstruktur auch ein Organisationsverschulden der Geschäftsführung darstellen.
Datenschutzbeauftragter ist eine zeitintensive Aufgabe, die Know-how erfordert
Die Aufgabe des Datenschutzbeauftragten liegt primär darin, die verantwortliche Stelle zu datenschutzrechtlichen Themen zu unterrichten und zu beraten sowie die Einhaltung der DSGVO-Vorgaben zu überwachen. Wird diese Position intern vergeben, geht das meist damit einher, dass die als Datenschutzbeauftragte benannte Person auch dafür zuständig ist, intern die Maßnahmen zur Umsetzung der DSGVO-Vorgaben zu koordinieren. Um die Funktion ausfüllen zu können, muss die dafür erforderliche fachliche Qualifikation aufgebaut und/oder aufrechterhalten werden. In Verbindung mit der Ausübung von Überwachungs- und Koordinierungsaufgaben wird der Aufwand in den meisten Fällen einen nicht unerheblichen Teil der Arbeitszeit der benannten Person einnehmen. Zu beachten ist daneben, dass ein interner Datenschutzbeauftragter erweiterten Kündigungsschutz genießt.
Externer Datenschutzbeauftragter kann teilweise für Entlastung sorgen
Vergibt man die Position des Datenschutzbeauftragten an einen externen Dienstleister, so liegt die Pflicht zur Aufrechterhaltung der fachlichen Qualifikation beim Dienstleister. Auch die Ressourcenplanung für Beratungsleistungen ist typischerweise Aufgabe des Dienstleisters, sodass entsprechende Beratungsleistungen regelmäßig auf Abruf verfügbar sind. Und die Kündigungsfrist richtet sich natürlich nach der vertraglichen Einigung mit dem Dienstleister.
Gleichwohl übernimmt der externe Datenschutzbeauftragte zwar die Beratungs- und Überwachungsaufgaben, regelmäßig jedoch nicht die Koordinierung der internen Umsetzung abgestimmter Maßnahmen. Dazu bedarf es einer Person, die im Unternehmen entsprechend vernetzt ist und die Prozesse gut kennt. Die Benennung eines externen Datenschutzbeauftragten bedeutet daher nicht, dass sich im Unternehmen niemand mehr um das Thema kümmern muss. Man kann das Thema Datenschutz nicht im klassischen Sinne „outsourcen“. Denn die Pflicht zur Umsetzung der DSGVO-Vorgaben trifft stets das Unternehmen selbst, nicht den Datenschutzbeauftragten. Dieser unterstützt, leitet an und überwacht die Einhaltung der DSGVO, die interne Koordination der Datenschutzmaßnahmen muss das Unternehmen selbst übernehmen.
Deshalb empfiehlt es sich, auch bei der Benennung eines externen Datenschutzbeauftragten intern jemandem die Aufgabe zuzuweisen, die Umsetzung der Datenschutzmaßnahmen zu koordinieren. Diese Person wird dann über die Anleitung durch den Datenschutzbeauftragten das erforderliche Fachwissen auf- oder ausbauen. Vielfach bieten externe Datenschutzbeauftragte auch maßgeschneiderte Schulungen für die Position der internen Datenschutzkoordination an, um eine reibungslose Zusammenarbeit zu gewährleisten.
Ein externer Datenschutzbeauftragter kann sich daher insbesondere dann anbieten, wenn das erforderliche Fachwissen und/oder die zeitlichen Ressourcen intern nicht bereits vorhanden sind. Häufig wird dann die externe Beauftragung schneller und kostengünstiger fachlich qualifizierte Leistung bereitstellen können. Ganz ohne interne zeitliche Ressourcen wird man allerdings auch dann nicht auskommen, da dem Datenschutzbeauftragten die erforderlichen Informationen zur Verfügung gestellt werden müssen und die Maßnahmen intern koordiniert werden müssen.